Microsoft JET RCE漏洞預警
0x00 漏洞背景
2018年9月20日 Zero Day Initiative(ZDI)團隊已公開披露了Microsoft JET資料庫引擎中的一個嚴重的遠端執行程式碼漏洞。
JET資料庫引擎和windows捆綁在一起,並且被多個windows產品所使用。
0x01 漏洞詳情
該漏洞是JET資料庫引擎中的一個越界(OOB)寫入造成的。
微軟的OLE DB Provider for JET和Access ODBC僅支援32位,這意味著在64位的主機上無法獲得直接利用。
但在64位主機上可以通過啟動
c:\ windows \ SysWOW64 \wscript.exe poc.js
來使用32位wscript.exe來觸發該PoC。
同時這種攻擊可以通過Internet Explorer進行觸發,即使在64位Windows上,Internet Explorer渲染過程也是32位的。
但在IE11上 – 在Internet和Intranet區域中禁用了安全設定“跨域訪問資料來源”,這會導致JavaScript錯誤。無法觸發漏洞。
同時從本地驅動器(或USB磁碟)啟動惡意poc.html也會觸發該漏洞。但需要戶按下“允許阻止的內容”才會觸發。
0x02 漏洞驗證
PoC內容如下
觸發後引起wscript.exe崩潰
0x03 防禦措施
官方尚未釋出針對的補丁
360CERT建議
- 謹慎行事,不要開啟來自不信任來源的檔案
- 更新IE瀏覽器版本,避免隨意點選允許阻止內容按鈕
0x04 時間線
2018-08-05 ZDI向微軟提交漏洞
2018-09-20 ZDI公佈漏洞細節以及PoC
2018-09-25 360CERT釋出預警
0x05 參考連結
- ofollow,noindex" target="_blank">https://www.zerodayinitiative.com/blog/2018/9/20/zdi-can-6135-a-remote-code-execution-vulnerability-in-the-microsoft-windows-jet-database-engine
- https://support.microsoft.com/en-in/help/957570/the-microsoft-ole-db-provider-for-jet-and-the-microsoft-access-odbc-dr